Шкідливе програмне забезпечення YamaBot

Зловмисне програмне забезпечення YamaBot — це шкідлива загроза, яку пов’язують із північнокорейською кіберзлочинною організацією APT (Advanced Persistent Threat), відомою як Lazarus Group . Цей конкретний штам шкідливого програмного забезпечення написаний на мові програмування Go, і його цілі переважно розташовані в Японії. Кіберзлочинці створили різні версії YamaBot, залежно від конкретних систем, які вони хочуть заразити. Спочатку YamaBot використовувався лише для серверів ОС Linux, але було виявлено нову версію, здатну впливати на пристрої з ОС Windows.

Точні функції YamaBot відрізняються між двома версіями. По-перше, початкова інформація про заражену систему, зібрана шкідливим програмним забезпеченням, включає імена хостів, імена користувачів і MAC-адреси в Windows і лише імена хостів і імена користувачів у Linux. Крім того, версія Linux може виконувати лише команди оболонки через /bin/sh.

Однак у Windows YamaBot може отримувати списки файлів і каталогів, отримувати додаткові файли, змінювати час сну системи, виконувати команди оболонки та видаляти себе з машини. З невідомих причин зловмисники створили загрозу YamaBot, щоб повертати результати виконаних команд також німецькою мовою. Що стосується зв’язку із сервером командування та керування загрозливою операцією (C2, C&C), загроза використовує запити HTTP.